趨勢科技 ZDI 漏洞懸賞計畫邁入20週年

趨勢科技ZDI是全球漏洞研究與揭露的領導者。根據Omdia指出，2024年，ZDI幫助負責任地揭露全球73%的漏洞，比所有其他參與廠商的總和還多。

這些新發現漏洞背後的研究，能確保企業在零時差攻擊發生前就獲得虛擬修補程式。這些虛擬修補通常比官方廠商釋出的更新早超過兩個月。而ZDI的貢獻更不限於趨勢科技客戶，它也讓整個數位世界更安全，透過協助軟體廠商在威脅攻擊者利用漏洞之前，就先將其修復。

該計畫起初源自於一個樸實的構想，於2005年由3Com旗下的TippingPoint所創立。其理念很簡單：透過金錢獎勵，鼓勵資安研究社群發掘常見產品中的零時差漏洞，並負責任地通報給相關廠商，協助其強化產品安全性。

如今廣為人知的Pwn2Own大賽於2007年首次舉辦，提供研究人員一個互相較勁、與時間賽跑的機會，在預先指定的產品類別中尋找零時差漏洞（zero-day）。

趨勢科技在2016年併購TippingPoint之後，成為ZDI的管理者。今日，該計畫擁有超過450名專職研究人員，分布於全球14個威脅情報中心，並匯聚了超過19,000名漏洞研究人員所組成的廣大社群。

ZDI漏洞懸賞計劃的重點成果包括：

• ZDI研究人員發現，針對著名的Stuxnet蠕蟲所利用的LNK漏洞修補更新，實際上未能有效發揮作業。透過他們的研究，微軟在原始修補程式發布五年後，才得以推出新的修補版本。
• ZDI研究人員獲頒來自微軟的12.5萬美元獎金，主要因爲發現一項能繞過微軟在Internet Explorer中實作的防禦機制的技術。該獎金全數捐作慈善用途，而這項技術新穎獨特，甚至獲得專利認可。
• 一名ZDI研究人員在Apple的Windows版QuickTime軟體中發現了兩項零時差漏洞，使Apple最終停止支援該產品。ZDI積極呼籲使用者盡快解除安裝 QuickTime。
• ZDI的研究成果多次協助中斷政府的隱密行動，其中包括多次針對烏克蘭發動攻擊的Black Energy APT。
• 一名ZDI研究人員於2023年榮獲Pwnie頒發的「最被低估的研究」獎，表彰其發現全新的一種攻擊類型：啟動內容快取投毒（activation context cache poisoning）。